noch Anlage 15
7. Datenübermittlung in Drittstaaten
§ 4e Satz 1 Nr. 8 BDSG fordert die Angabe der geplanten Übermittlungen in Drittstaaten. Dazu zählen alle Stellen außerhalb der Europäischen Union oder anderer Vertragsstaaten des Europäischen Wirtschaftsraums
(EWR). Angaben sind also bereits dann zu machen, wenn es mit einer gewissen Wahrscheinlichkeit zu einer
Übermittlung in Drittstaaten kommen wird. Bereits erfolgte Übermittlungen in Drittstaaten sind ebenso anzugeben.
Anzugeben sind die Übermittlungszwecke, die betroffenen Datenkategorien und die Zielländer, um das Vorliegen der Voraussetzungen der §§ 4b und c BDSG nachvollziehbar zu machen15. Ein pauschaler Verweis auf eine
Übermittlung „in alle Länder der Welt“ genügt nicht, da eine Prüfung der Zulässigkeit einer Übermittlung im
Einzelfall anhand des im Empfängerland bestehenden Datenschutzniveaus dann nicht möglich ist (§ 4b Abs. 3
und 5 BDSG). Der Zeitpunkt und die näheren Umstände der Datenübermittlung müssen jedoch nicht angegeben
werden.
8. Allgemeine Beschreibung mit Blick auf § 9 BDSG
§ 4e Satz 1 Nr. 9 BDSG sieht eine allgemeine Beschreibung der vorgesehenen Datensicherungsmaßnahmen vor,
die eine vorläufige Beurteilung ihrer Angemessenheit ermöglichen soll. Ausreichend ist eine stichwortartige
Aufzählung anhand der Vorgaben in der Anlage zu § 9 BDSG.
9. Zugriffsberechtigte Personen
§ 4g Abs. 2 Satz 1 fordert für den internen Teil des Verfahrensverzeichnisses zusätzlich Angaben über die zugriffsberechtigten Personen. In Abgrenzung zu „Empfängern“ i.S.d. § 4e Satz 1 Nr. 6 BDSG (siehe
Punkt IV. 5.) sind zugriffsberechtigte Personen nach § 4g Abs. 2 Satz 1 BDSG in der Regel nur Angehörige der
verantwortlichen Stelle, die aufgrund ihrer Position oder Funktion Zugang zu bestimmten dafür relevanten Daten haben16. Zu den zugriffsberechtigten Personen zählen aber auch Beschäftigte von Auftragnehmern einer
Auftragsdatenverarbeitung nach § 11 BDSG.
Die Angaben zu den zugriffsberechtigten Personen müssen so präzise sein, dass der behördliche Beauftragte für
den Datenschutz diese jederzeit hinreichend individualisieren kann.
10. Rechtsgrundlagen
Gemäß § 18 Abs. 2 Satz 2 BDSG ist die Rechtsgrundlage der automatisierten Verarbeitung anzugeben. Dies soll
die Prüfung durch die BfDI und den behördlichen Datenschutzbeauftragten erleichtern und trägt dem für Einschränkungen des Rechts auf informationelle Selbstbestimmung bestehenden Gesetzesvorbehalt Rechnung 17.
15
16
17
Petri, in: Simitis, BDSG, 7. Aufl. 2011, § 4e Rn. 8.
Simitis, in: Simitis, BDSG, 7. Aufl. 2011, § 4g Rn. 69; a.A. Wolff/Brink, BeckOK BDSG, Stand: 01.05.2013, § 4g Rn.27; Scheja, in:
Taeger/Gabel, BDSG, 1. Aufl. 2010, § 4g Rn. 24.
Dammann, in: Simitis, BDSG, 7. Aufl. 2011, § 18 Rn. 34.
BfDI 25. Tätigkeitsbericht 2013-2014
– 273 –